Noticias

Mirtos y guayabas, Episodio 1

Hace algunos días, nuestros colegas de la empresa antivirus bielorrusa VirusBlokAda (VBA) anunciaron que habían detectado un nuevo programa malicioso interesante. Los expertos de VBA publicaron un análisis corto del programa que destacaba dos de sus innovaciones:

  1. El uso de archivos Ink para ejecutar archivos desde dispositivos de almacenamiento USB, un método que nunca antes se había utilizado.
  2. El driver malicioso tiene una firma digital válida de Realtek.

Vale la pena leer el artículo de VBA. ¡Buen trabajo, muchachos!

Aquí en Kaspersky Lab también hemos analizado el malware y encontramos un par de cosas interesantes.

En primer lugar, llamó nuestra atención la forma en la que el troyano se propaga. Crea 4 archivos Ink para infectar dispositivos de almacenamiento USB:

“Copy of Copy of Copy of Copy of Shortcut to.lnk”
– ejecuta \.STORAGE#RemovableMedia#7&[ID]&0&RM#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}~WTR4141.tmp

“Copy of Copy of Copy of Shortcut to.lnk”
– ejecuta
\.STORAGE#RemovableMedia#8&[ID]&0&RM#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}~WTR4141.tmp

“Copy of Copy of Shortcut to.lnk”
– ejecuta
\.STORAGE#Volume#1&19f7e59c&0&_??_USBSTOR#Disk&Ven_&Prod_USB_FLASH_DRIVE&Rev_PMAP#0798018356734E4F&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}~WTR4141.tmp

“Copy of Shortcut to.lnk”
– ejecuta
\.STORAGE#Volume#_??_USBSTOR#Disk&Ven_&Prod_USB_FLASH_DRIVE&Rev_PMAP#0798018356734E4F&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}~WTR4141.tmp

~WTR4141.tmp, por cierto, es el archivo malicioso principal.

Secuencias del código del troyano que infecta los dispositivos USB.

Lo interesante es que el ordenador atacado sólo proporciona al dispositivo USB los números para identificar los primeros dos archivos.

Hasta ahora, autorun.inf era el responsable de ejecutar archivos del disco de forma automática. Esta “característica” de Windows ha recibido duras críticas de expertos en seguridad y se ha utilizado innumerables veces para propagar malware. Clasificamos este tipo de malware como Worm.Win32.Autorun, y existen decenas de miles de amenazas de este tipo.

Pero de alguna manera nos hemos acostumbrado a autorun.inf y hemos aprendido a combatirlo, mientras que el uso de los archivos Ink es algo sin precedentes. Vamos a ir reservando el nombre “linkrun” por si es necesario en el futuro 🙂

Por ahora no hemos llegado a ninguna conclusión: tal vez esta es una verdadera, hasta ahora desconocida, vulnerabilidad de Windows, o quizás sólo es la última “característica” del sistema. Se ha informado a Microsoft sobre el problema, así que esperamos determinar con exactitud cuál es la situación en un par de días.

Por ahora hemos llegado al final del primer episodio. Los siguientes episodios revelarán más características del malware, y explicarán la razón del título de la entrada. Una pista: no es porque estemos haciendo jardinería en nuestro tiempo libre 🙂

Continuará…

Mirtos y guayabas, Episodio 1

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada